FinTech (Tecnofinanza) - Pavia e Ansaldo

FinTech: un termine che si sta facendo sempre più strada nel mondo della finanza ove ormai quasi quotidianamente si presentano nuovi aspetti e nuove applicazioni.

Il FinTech (sincrasi di Financial Technologies) è un comparto del mercato dei servizi bancari e finanziari che si caratterizza per lo sviluppo e l’adozione di tecnologie emergenti, l’applicazione di queste ultime a prodotti già esistenti e la conseguente introduzione di nuovi modelli di business, con la principale finalità di ridurre i costi dei servizi.

Il FinTech interessa tutti i settori dell’intermediazione bancaria e finanziaria, includendo innovazioni anche molto diverse tra loro: vi rientrano, per fare solo qualche esempio, il mercato del trading online, anche delle criptovalute, il sostegno al risparmio fondato sull’analisi computazionale dei dati personali (big data), i nuovi modelli di accesso al credito (crowd-funding, peer-to-peer lending e credit scoring), i prodotti assicurativi (c.d. InsurTech), i finanziamenti e i servizi automatizzati di consulenza finanziaria (robo-advice), la gestione dell’identità e dei sistemi di riconoscimento biometrico (riconoscimento facciale, tramite impronta digitale o retina), le tecnologie di validazione distribuita delle transazioni (Distributed Ledger Technologies e blockchain) e quelle di supporto all’attività caratteristica (cloud computing). Al FinTech è, inoltre, associato anche il mercato di recente emersione dei servizi idonei a facilitare, semplificare e automatizzare le procedure remote di KYC (Know Your Customer) e AML (Anti-Money Laundering), finalizzate alla conoscenza, classificazione e controllo dei clienti: il RegTech (Regulatory Technologies).

A tale proposito, una sensibile spinta all’innovazione nel settore finanziario è stata generata dall’entrata in vigore della Direttiva PSD2, con l’istituzionalizzazione di attori quali AISPs, PISPs, ASPSPs e TPPs e l’introduzione di concetti quali SCA, XS2A, RTS e API.

Il FinTech ha sensibilmente modificato il mercato dei servizi bancari e finanziari, consentendo il posizionamento delle Big Tech come seri concorrenti delle incumbents di settore.

Per questo abbiamo pensato di creare un glossario, il ‘PeA FinTech Sillabo’, ossia una raccolta ragionata di vecchi e nuovi termini accompagnati da brevi note di commento e tavole di raccordo.

Sillabo: un termine “antico” a ricordare che i fenomeni finanziari si sono sempre avvantaggiati, con velocità ed accelerazioni diverse, di ciò che le conoscenze di ogni tempo consentono, a partire dalle tavole numeriche babilonesi (utilizzate per i censimenti e la quantificazione delle merci ma anche per il pagamento delle tasse) e seguire poi, tra gli altri, alle lettere di cambio di epoca medioevale o all’uso di algoritmi e funzioni alla base dei modelli finanziari utilizzati per i più svariati scopi.

In quest’ottica, dunque, il FinTech non è altro che l’ultima tappa di un processo in atto da millenni, di cui il presente glossario rappresenta una possibile chiave interpretativa.

Il lavoro, svolto dai nostri professionisti coordinati dal partner Mario Di Giulio, sarà aperto al contributo di altri professionisti, anche esterni allo studio, per l’approfondimento degli interrogativi di carattere tecnico e delle ricadute economiche, sociali e culturali scaturenti dall’innovazione tecnologica.

Continuate a seguirci!

AISP

(Account Information Service Provider – Prestatore di servizi di informazione sui conti)

Gli AISP offrono ai clienti, per il tramite di una piattaforma online, una panoramica aggregata su uno o più conti di pagamento nella loro titolarità, anche se intrattenuti con diversi istituti di pagamento e nell’ambito di diversi Paesi. Sono comunemente noti come aggregatori di conti.
La Commissione ha chiarito che tali servizi hanno la finalità di consentire ai clienti di avere una visione globale della loro situazione finanziaria e di analizzare le loro abitudini di spesa, costi e bisogni finanziari in maniera intuitiva.
Grazie ai servizi offerti dagli AISP, il cliente, se il proprio conto di pagamento è accessibile online, ha la possibilità di usare con sicurezza i propri dati bancari per ottenere una consulenza finanziaria personalizzata e offerte diversificate sui prodotti finanziari; può, inoltre, godere, su un’unica piattaforma, di una visione complessiva di tutte le informazioni riguardanti i propri conti bancari: tassi di interesse, commissioni e spese applicate, storico delle transazioni, saldo dei conti; infine, ha la possibilità di confrontare costantemente prodotti bancari diversi.
In Italia i prestatori di servizi di informazione sui conti debbono affrontare una procedura di autorizzazione (e non di mera registrazione), che culmina con l’iscrizione in una sezione speciale dell’Albo degli istituti di pagamento al ricorrere di determinati requisiti (previsti dal comma 2-bis dell’art. 114-septies TUB): forma di società di capitali; sede legale in Italia; presentazione del business plan; idoneità dei soggetti che svolgono funzioni di amministrazione, direzione e controllo; mancato ostacolo alle funzioni di vigilanza; prestazione di idonea garanzia per i potenziali danni ai prestatori di servizi di radicamento del conto o agli utenti dei servizi di pagamento. A differenza dei PISP, gli AISP non necessitano di un capitale versato minimo.

AISP e PISP: tabella comparativa

API

(Application Programming Interface – Interfaccia di programmazione di un’applicazione)

L’Application Programming Interface è un insieme di comandi, protocolli, funzioni e oggetti che garantiscono a un software di comunicare e accedere a un sistema esterno. Ciò consente agli sviluppatori di creare applicazioni o programmi senza la necessità di riscrivere il codice da zero ma partendo da operazioni condivise con l’altro software cui verranno associati.
Alcune software house rendono pubbliche le loro API al fine di incrementare la diffusione dei propri programmi. Altre società, invece, garantiscono l’accesso alla propria interfaccia soltanto a soggetti selezionati, in modo da mantenere il controllo finale sul servizio offerto.
Nell’ambito della politica di open banking promossa dall’Unione europea con la Direttiva PSD2, l’API risulta di fondamentale importanza in quanto garantisce ai TPP l’accesso alle informazioni del conto radicato presso una banca.
I requisiti di dettaglio e le funzionalità che dovranno avere le API per essere conformi alla Direttiva PSD2 saranno regolati dall’ABE (Autorità bancaria europea). Le banche dovranno dotarsi di un API Management e di efficaci sistemi di sicurezza allo scopo di gestire le richieste di accesso. L’accesso tramite API deve essere in ogni caso garantito qualora il TPP rispetti i requisiti stabiliti dalla direttiva.

ASPSP

(Account Servicing Payment Service Provider – Prestatore di servizi di pagamento di radicamento del conto)

L’ASPSP è un prestatore di servizi di pagamento che offre e amministra un conto di pagamento per un pagatore: si tratta, principalmente ma non solo, degli istituti bancari.
Gli ASPSP sono presi in considerazione dalla Direttiva PSD2 in quanto destinatari di numerosi obblighi, tra i quali in primis quello di fornire i dati in maniera sicura agli AISP e ai PISP.
Il prestatore di servizi di radicamento del conto, inoltre, deve assicurare parità di trattamento alle richieste di dati trasmesse dai TPP rispetto a quelle trasmesse direttamente dall’utente, senza alcuna discriminazione in termini di tempo, priorità o commissioni, fatte salve ragioni obiettive.
In presenza di giustificate e comprovate ragioni connesse all’accesso fraudolento o non autorizzato al conto di pagamento, il prestatore di servizi di pagamento di radicamento del conto può rifiutare l’accesso ai dati a un AISP o a un PISP. In tali casi, l’ASPSP, secondo le modalità convenute con l’utente, informa il TPP del rifiuto e dei relativi motivi, prima che l’accesso sia rifiutato o, al più tardi, immediatamente dopo, salvo che ciò non sia in contrasto con obiettivi di ordine pubblico o di pubblica sicurezza o ricorrano altri giustificati motivi ostativi. Al venir meno delle ragioni che hanno portato al rifiuto, l’ASPSP consentirà nuovamente l’accesso al conto di pagamento. L’ASPSP dovrà sempre rifiutare senza indugio l’accesso al conto di pagamento a un AISP o a un PISP se riceve dall’utente la revoca del consenso alla prestazione di tali servizi.
La Direttiva prevede anche un preciso regime di responsabilità per le transazioni non autorizzate e/o non correttamente eseguite. L’ASPSP sostiene in prima linea il rischio per le transazioni non autorizzate ed è tenuto a rimborsare immediatamente al pagatore l’importo delle operazioni medesime. In caso di operazione di pagamento non autorizzata disposta mediante un PISP, quest’ultimo è tenuto a rimborsare all’ASPSP gli importi restituiti al pagatore immediatamente o, comunque, entro la fine della giornata operativa successiva, senza che sia necessaria la costituzione in mora. È fatto salvo, in ogni caso, il diritto di rivalsa dell’ASPSP nei confronti del PISP, che sarà tenuto a risarcirlo immediatamente, anche per le perdite subite, laddove non riesca a provare che nell’ambito delle proprie competenze, il pagamento è stato autenticato, correttamente registrato e non ha subito le conseguenze di un malfunzionamento tecnico o altri inconvenienti connessi al servizio di pagamento che quest’ultimo era tenuto a erogare.
In forza del nuovo quadro normativo, gli ASPSP hanno visto incrementare notevolmente il rischio di frodi e, conseguentemente, hanno dovuto riconsiderare taluni processi interni, nonché revisionare alcune condizioni generali con i propri clienti.

Blockchain

La blockchain è un tipo di distributed ledger technology (DLT – tecnologia di registro distribuito), che offre la possibilità di effettuare transazioni sicure in internet e di conservare dati senza la necessità che un’autorità terza ne valuti e confermi la validità.

La tecnologia blockchain, in particolare, consente a un gruppo di soggetti non legati tra loro (cc.dd. nodi) di formare, indipendentemente l’uno dall’altro, un consenso diffuso intorno alla validità di una determinata transazione. Il risultato è il decentralized public ledger, ossia un registro di transazioni accessibile online, pubblico, permanente e refrattario a eventuali tentativi di frode, in quanto non gestito da un ente unico.

La blockchain è il frutto di oltre venti anni di innovazioni tecnologiche nel settore della crittografia e delle reti tra computer. Tali innovazioni hanno portato alle tre principali caratteristiche di cui gode oggi la blockchain: 1) un meccanismo di consenso decentralizzato; 2) una riserva di dati distribuita; 3) algoritmi crittografici.

Prima che una transazione o un certo dato possa essere archiviato digitalmente nel registro pubblico decentralizzato, i membri della rete devono conseguire un consenso in merito alla validità della transazione o del dato inserito. In questo modo, essi eliminano la necessità di un’autorità centralizzata che confermi le transazioni. Una volta che una transazione abbia ottenuto il consenso diffuso, viene inserita in modo permanente nel registro.

L’archiviazione dei dati è la seconda innovazione-chiave apportata dalla blockchain. È evidente che quando una transazione deve essere validata da un’autorità centrale affidabile, tale ultima autorità è l’unica a conservare traccia completa della transazione; nella blockchain, al contrario, quando i nodi raggiungono un consenso sulla validità di una transazione, tale transazione viene archiviata nella copia del registro in possesso di ogni singolo nodo e salvata sul relativo terminale. Ogni membro della rete conserva, quindi, una registrazione completa di tutte le transazioni effettuate in qualsiasi momento.

La natura decentralizzata della blockchain dà conto anche della sua terza principale caratteristica: gli algoritmi crittografici. Per proteggere i dati in essa inseriti, la blockchain utilizza un “approccio probabilistico”. Quando le informazioni sono inserite in una rete decentralizzata e possono essere archiviate solo attraverso il consenso di un gruppo, esse diventano più trasparenti e verificabili. I potenziali hacker che volessero immettere informazioni false nel registro distribuito difficilmente potrebbero riuscirvi, per l’improbabilità che tali dati ottengano un consenso diffuso nella rete.

Inoltre, a differenza dei dati memorizzati nelle reti centralizzate, i dati inseriti in una blockchain non possono essere modificati semplicemente mediante l’accesso alla rete o al server. Dal momento che una copia del registro è memorizzata sui computer di tutti i nodi della rete, l’eventuale attacco o manomissione del registro di un nodo creerà un’incoerenza che potrà essere facilmente resa nota e risolta mediante il confronto con i registri in possesso degli altri nodi.

Ulteriori approfondimenti

Blockchain e Cyberattacks: La Blockchain è una tecnologia sicura e a prova di hacker?
Pierguido Iezzi, Cybersecurity Strategy Director – Co Founder di Swascan

Blockchain come strumento per il contrasto al riciclaggio: uno scenario del prossimo futuro
Massimo Masini, Amministratore, GPM & SAIP GROUP srl

Smart Contract e Blockchain
Alessandra Grandoni, Pavia e Ansaldo

Credit Scoring

(Valutazione del merito creditizio)

Il credit scoring è un sistema usato dalle banche e dagli intermediari finanziari per valutare, mediante l’attribuzione di un punteggio (score), il merito creditizio di chi richiede un finanziamento e, in definitiva, decidere se erogare il credito e, in caso affermativo, a quali condizioni.
Ad esempio, un’azienda con uno score particolarmente elevato potrà vedersi applicare un tasso di interesse relativamente più basso, perché offre maggiori garanzie di solidità finanziaria e un minor rischio di insolvenza.
L’attività di scoring prende in considerazione diverse informazioni: da quelle attinenti al cliente e alla sua situazione debitoria (centrale rischi, bilanci passati, …) a quelle riguardanti il progetto da finanziare. L’efficacia del credit scoring è avallata in Italia dalla Banca d’Italia, che, in uno studio ad hoc relativo principalmente ai prestiti concessi alle piccole e medie imprese, ha rilevato che l’adozione di sistemi di credit scoring rende più oculata la scelta dei debitori da parte delle banche e riduce il rischio di acquisire crediti in sofferenza.
L’attendibilità del credit scoring potrebbe aumentare in misura esponenziale grazie al FinTech. Le enormi quantità di dati a disposizione delle Big Tech sulle abitudini di consumo degli utenti potrebbero consentire, in futuro, un’accurata analisi dell’affidabilità creditizia degli individui. Le tecnologie API, inoltre, consentono l’accesso a una molteplicità di informazioni, come quelle relative ai flussi di cassa di un’azienda: ciò consentirebbe di valutare un potenziale cliente attraverso l’analisi di informazioni ottenute in tempo reale e non soltanto degli andamenti passati.
In questa ottica, l’accesso a tali dati risulta decisivo per la sorte delle imprese del settore dei servizi bancari e finanziari, anche ai fini antitrust. Su tale considerazione si fonda, dunque, la norma della Direttiva PSD2 che consente ai TPP(prestatori terzi) il libero accesso ai dati relativi ai conti accesi dai propri utenti presso banche e istituti di pagamento.

Ulteriori approfondimenti

Credit scoring e rating: qual è la differenza?
Alessandro Adamo, Pavia e Ansaldo

Uguaglianza dei ratings tra le agenzie di rating.
Lapo Guadagnuolo, Responsabile del Centro di Eccellenza nell’ambito del gruppo Metodologia di S&P Global Ratings

Criptovalute

L’art.1, comma 2, lett. qq) del decreto 231/2007, come modificato dal d.lgs. 90/2017, reca una definizione – in larga parte derivante da quella già delineata dagli studi della Banca d’Italia e della Banca centrale europea – di valuta virtuale (o criptovaluta) quale “rappresentazione digitale di valore […] utilizzata come mezzo di scambio per l’acquisto di beni e servizi e trasferita, archiviata e negoziata elettronicamente”, enfatizzando come essa non sia “emessa da una banca centrale o da un’autorità pubblica”, né sia “necessariamente collegata a una valuta avente corso legale”. Più recentemente, anche il legislatore europeo ha regolamentato il fenomeno delle valute virtuali con la V direttiva Antiriciclaggio (Direttiva (UE) 2018/843).
La nascita delle valute virtuali è coincisa con la crisi finanziaria del 2008, quando un gruppo di informatici decise di impegnarsi nella creazione di un sistema finanziario del tutto innovativo, che prescindesse dalle banche e in cui i privati potessero utilizzare tra loro un strumento di pagamento senza coinvolgere alcuna autorità o intermediario. La risposta tecnologica a questa esigenza giunse grazie all’impiego degli algoritmi crittografici, cui si deve la scelta del nome “criptovaluta”.
Nonostante originariamente le criptovalute fossero state pensate come uno strumento di pagamento del tutto decentralizzato e bidirezionale, le cui transazioni dovevano essere costruite e convalidate da complessi metodi basati sulla crittografia con tutti i soggetti situati in una posizione paritetica (peer to peer), oggi esistono anche valute che possono essere emesse e gestite da un singolo ente, spesso impiegate nell’ambito di comunità virtuali.
La più celebre delle criptovalute è senz’altro il Bitcoin, sebbene esistano più di 1600 valute virtuali sul mercato: Ether, Ripple e Litecoin sono soltanto le più note di un elenco che è in continua evoluzione.
Data la novità del fenomeno e la problematicità di molti aspetti, vi è una relativa mancanza di norme internazionali disciplinanti le valute virtuali.

Ulteriori approfondimenti

Le “criptovalute” non sono moneta legale
Nicola Mainieri, Dirigente della Banca d’Italia, Ispettorato Vigilanza

Cryptocurrency Wallet

(Portafoglio di Criptovalute)

Per “portafoglio di criptovalute” si intende ogni sistema adibito alla conservazione della coppia di chiavi crittografiche, pubblica e privata, necessarie per compiere transazioni di criptovalute. Esistono numerose tipologie di wallet, non tutte richiedenti l’impiego di supporti digitali, ma la più importante suddivisione è quella tra “cold wallet” e “hot wallet”. I cold wallet sono tutti quei sistemi non automaticamente connessi ad una rete su cui vengono scritte o stampate le chiave crittografiche (supporti hardware o paper wallet); viceversa, gli hot wallet sono connessi costantemente alla rete.
Gli hot wallet, oltre a conservare le chiavi crittografiche, permettono di effettuare transazioni di criptovalute, mentre i cold wallet garantiscono, da parte loro, una maggiore sicurezza contro gli attacchi informatici. Si è cercato di unire la praticità degli hot wallet con l’affidabilità dei cold wallet realizzando supporti hardware specifici in cui è possibile effettuare transazioni in criptovalute, generalmente tramite l’inserimento di un pin in un’interfaccia grafica.
Una tipologia del tutto peculiare di wallet è rappresentata dai cosiddetti “deterministic wallet”, i quali offrono la possibilità di effettuare un backup del portafoglio tramite un seed (stringa casuale di parole comprensibili al linguaggio umano e conservate su un supporto diverso dal wallet) e una root key, dalla quale poi verranno derivate tutte le altre chiavi in ordine deterministico. I seed, una volta inseriti, consentono il backup del sistema senza bisogno di immettere altre chiavi, dal momento che queste ultime sono ottenute e ricalcolate algoritmicamente a partire dalla root key.
Normalmente, i portafogli di criptovalute sono compatibili solo con un numero limitato di criptovalute (sopra tutte i bitcoin), ma ne esistono alcuni capaci di contenere più criptovalute alla volta.
I gestori di wallet sono divenuti oggetto della recentissima Direttiva UE 2018/843, novellante la direttiva (UE) 2015/849 (AMLD4) contro il riciclaggio ed il finanziamento al terrorismo. La ragione di quest’inserimento, esplicitata nei considerando n. 8) e 9), è da ricercare nel potenziale criminoso dell’utilizzo di criptovalute, data l’assenza di controlli a cui sono sottoposti i soggetti che gestiscono criptovalute e l’anonimato con cui sono svolte le transazioni.

Identità Digitale

Secondo una definizione ai sensi dal d.p.c.m del 24 ottobre 2014, l’intelligenza artificiale è la “rappresentazione informatica della corrispondenza biunivoca tra un utente e i suoi attributi identificativi […]”. L’identità digitale è oggetto del Regolamento (UE) n. 910/2014, che ha l’obbiettivo di stabilire una normativa comune a livello europeo sui servizi fiduciari e i sistemi d’identificazione digitale. Sulla base di questa norma, è stato introdotto, con il decreto ministeriale summenzionato, lo SPID (Sistema Pubblico di Identità Digitale), un sistema unico e valido per tutte le p.a. presso cui i privati possono accedere ai servizi pubblici tramite identità digitale.

Intelligenza Artificiale

L’intelligenza artificiale (con acronimo “IA” o “AI”, dall’inglese Artificial Intelligence), secondo una definizione del Politecnico di Milano, è “il ramo della computer science che studia lo sviluppo di sistemi hardware e software dotati di capacità tipiche dell’essere umano ed in grado di perseguire autonomamente una finalità definita prendendo delle decisioni che, fino a quel momento, erano solitamente affidate agli esseri umani”.[1] Il termine fu coniato negli anni cinquanta dal matematico ed informatico John McCarty, che ne divenne uno dei pionieri. Nonostante la parola “Intelligenza Artificiale” sia ormai sulla bocca di tutti, è tutt’altro che pacifico l’arrivare a circoscrivere cosa essa sia di preciso, tenendo conto anche dei problemi di carattere filosofico che sorgono nell’attribuire la più tipica qualità dell’uomo- quella del pensiero- a delle macchine. Gli stessi vocabolari tendono ad assumere un approccio eclettico, introducendo definizioni che, almeno nella gran parte dei casi, afferiscono ad una serie di profili comuni: la creazione di macchine i cui ragionamenti siano riconducibili al pensiero umano fino ad imitarlo completamente, la capacità di espandere l’intelligenza umana tramite l’uso dei computer, l’uso e lo sviluppo di programmi che rendano i computer più performanti, e la scienza che studia tutto ciò e lo rende possibile[2].

La conseguenza di questo carattere “poliforme” dell’IA, in parte oggetto “raziocinante” in sé e in parte scienza e tecnica, si riverbera anche sui i pochissimi approcci normativi relativi all’intelligenza artificiale, che tendono ad inquadrare il termine in formule molto complesse e ricche di sfumature.

Un esempio importante è la definizione data da una legge statunitense, il John S. McCain National Defense Authorization Act for Fiscal Year 2019 (o NDAA 2019), alle Sezioni 238, lett. g) e 1051, lett. f), che recita:

“(f) Definizione di Intelligenza Artificiale. — In questa sezione, il termine” intelligenza artificiale “include ciascuno dei seguenti elementi:

(1) Qualsiasi sistema artificiale che esegue attività in circostanze variabili e imprevedibili senza una rilevante supervisione umana o che può imparare dall’esperienza e migliorare le proprie prestazioni quando esposto ad un set di dati.

(2) Un sistema artificiale sviluppato in software per computer, hardware fisici o in ogni altro contesto che risolve compiti che richiedono percezione, cognizione, pianificazione, apprendimento, comunicazione o azioni fisiche simili a quelle umane.

(3) Un sistema artificiale progettato per pensare o agire come un essere umano, comprese le architetture cognitive e le reti neurali.

(4) Un insieme di tecniche, incluso l’apprendimento automatico, progettate per approssimare un compito cognitivo.

(5) Un sistema artificiale progettato per agire razionalmente, compreso un agente software intelligente o un robot “embodied” che raggiunge gli obiettivi utilizzando la percezione, la pianificazione, il ragionamento, l’apprendimento, la comunicazione, il processo decisionale e l’azione.”^[3].

Guardando alla normativa, l’NDAA 2019 individua l’intelligenza artificiale sulla base di cinque elementi, quattro dei quali si riferiscono alle caratteristiche dei sistemi IA (quali machine learning, machine reasoning, la presenza di reti neurali etc.) ed il quinto concerne le tecniche implementate allo scopo di svolgere attività intellettuali.

Anche la Commissione Europea, seppure per scopi molto diversi, ha adottato una definizione d’intelligenza artificiale, nel Draft of Ethic Guidelines for trustworthy AI, a pagina iv:

“L’intelligenza artificiale (IA) si riferisce a sistemi progettati dall’uomo che, dato un obiettivo complesso, agiscono nel mondo fisico o digitale percependo il loro ambiente, interpretando i dati raccolti strutturati o non strutturati, ragionando sulla conoscenza derivata da questi dati e decidendo il miglior percorso (o i migliori percorsi) da intraprendere (in base a parametri predefiniti) per raggiungere l’obiettivo indicato. I sistemi AI possono anche essere progettati per imparare ad adattare il loro comportamento analizzando il modo in cui l’ambiente è influenzato dalle loro azioni precedenti”).

Come disciplina scientifica, l’IA comprende diversi approcci e tecniche, come l’apprendimento automatico (di cui il deep learning e il reinforcement learning sono esempi specifici), il machine reasoning (che include pianificazione, programmazione, rappresentazione della conoscenza e ragionamento, ricerca e ottimizzazione), e la robotica (che include controllo, percezione, sensori e attuatori, nonché l’integrazione di tutte le altre tecniche nei sistemi cyber-fisici)”.

Come possiamo notare, questa definizione ricalca il binomio oggetto-scienza già presente nel NDAA 2019.

Vi è anche un allegato alle suddette linee guida che offre una versione molto più ampia di questa nozione, sviscerandone gli aspetti principali ed inquadrando le branche che formano l’IA come disciplina (Reasoning and Decision Making, Machine Learning, Robotics). In ogni caso, la definizione contenuta nel draft è ancora provvisoria, in quanto le Linee Guida sono ancora aperte a consultazioni e dovrebbe esserne pubblicata una versione definitiva solamente a marzo 2019.

Sempre nel 2018, il Consiglio d’Europa ha adottato una propria definizione d’intelligenza artificiale, relativamente nell’ambito della Carta etica europea sull’uso dell’intelligenza artificiale nei sistemi giudiziari, all’Appendice III: Glossario, vale a dire:

“Intelligenza Artificiale: un insieme di metodi, teorie e tecniche scientifiche il cui scopo è di riprodurre, tramite una macchina, le capacità cognitive degli esseri umani. Gli sviluppi attuali mirano a macchine che eseguono compiti complessi precedentemente svolti dagli umani”.

A differenza delle definizioni adottate dal legislatore statunitense e dalla Commissione Europea, qui manca un riferimento all’IA come macchina o software capace di ragionamento e apprendimento, concentrandosi sul suo carattere di disciplina scientifica.

Guardando all’Italia, nessun atto legislativo ha ancora adottato una definizione univoca d’intelligenza artificiale, sebbene l’IA sia sempre più oggetto d’attenzione da parte delle autorità[4]. Il Libro Bianco sull’Intelligenza Artificiale al servizio del cittadino, pubblicato dall’Agenzia Italiana per il Digitale, riconoscendo che esistono molti modi per definire l’IA, ne adotta quella elaborata dall’Università di Stanford (“una scienza e un insieme di tecniche computazionali che vengono ispirate – pur operando tipicamente in maniera diversa – dal modo in cui gli esseri umani utilizzano il proprio sistema nervoso e il proprio corpo per sentire, imparare, ragionare e agire[5]”) a titolo meramente esplicativo.

[1] Basandosi sul modello di reti neurali che caratterizza il cervello umano, l’IA mira a sviluppare l’architettura necessaria affinché le macchine possano arrivare a possedere le funzioni cognitive tipiche dell’uomo: tra queste, la capacità di comprendere ed elaborare il linguaggio naturale (natural language processing) e le immagini (image processing), la capacità di apprendere e di interagire con l’ambiente ed elaborare strategie in modo efficace, l’intelligenza sociale ed emotiva fino ad arrivare, virtualmente, all’autocoscienza. Le IA vengono spesso suddivise tra “forti” e “deboli”: le prime possono svolgere solo alcuni e precisi processi cognitivi propri dell’uomo, mentre le seconde possono arrivare a carpire l’intero spettro del ragionamento umano.

Per poter arrivare a questi obbiettivi, l’intelligenza artificiale elabora e si avvale di processi di machine learning, algoritmi in grado di permettere alle macchine di apprendere e migliorarsi più o meno autonomamente attraverso i dati che vengono loro forniti direttamente dall’ambiente esterno, senza bisogno di essere state programmate preventivamente per tale scopo. Dal machine learning si è arrivati, nel 2011, al deep learning, una simulazione dell’apprendimento umano basata sull’incasellamento dei concetti appresi in una scala gerarchica, che richiede alla base algoritmi e strutture hardware estremamente sofisticati.

Sebbene siamo ancora lontani dal creare sistemi capaci di replicare in modo pedissequo l’intelligenza umana, l’intelligenza artificiale ha raggiunto livelli tali da permetterci di costruire macchine in grado di svolgere certe funzioni cognitive con estrema efficacia ed efficienza. Gli esempi già in funzione o prossimi ad entrare nel mercato sono innumerevoli, dai nuovi software riconoscimento vocale (come Siri), all’uso di droni per il trasporto di merci o per servizi d’assistenza e domestici, i nuovi war games, e le smart cars. In pratica, è quasi impossibile delimitare gli effetti che l’intelligenza artificiale sta avendo e/o avrà sulle nostre vite.

[2] ARTIFICIAL INTELLIGENCE – Artificial Intelligence: Definition, Trends, Techniques and Cases – Joost N. Kok, Egbert J. W. Boers, Walter A. Kosters, Peter van der Putten and Mannes Poel. Secondo il Black’s Law Dictionary, per intelligenza artificiale si intende un “software utilizzato per far funzionare computer e robot meglio degli umani. I sistemi sono basati su regole o reti neurali. L’intelligenza artificiale è usata per aiutare a realizzare nuovi prodotti e nuove tecnologie robotiche, per la comprensione del linguaggio umano e per la visione artificiale”.

[3]La Sezione 1051 del NDDA 2019 istituisce una commissione indipendente con il compito di valutare “gli avanzamenti dell’intelligenza artificiale, sviluppi relativi ai processi di machine learning, e tecnologie associate” in modo di garantire la competitività degli USA nel settore. La Sezione 238 dell’atto, invece, riguarda una serie di attività che devono svolgere i membri del Dipartimento della Difesa al fine di adottare e sviluppare soluzioni e processi IA.

[4] Libro Bianco sull’Intelligenza Artificiale al servizio del cittadino- Versione 1.0 Marzo 2018, pubblicato dalla task force AGID, pp. 24 e seguenti. All’intelligenza artificiale si rivolge anche l’ultima legge di bilancio, (legge 145/2018), la quale istituisce all’art. 1, comma 216, un “Fondo per favorire lo sviluppo delle tecnologie e delle applicazioni di Intelligenza Artificiale, Blockchain e Internet of Things”, con dotazione di 15 miliardi di euro per ciascuno degli anni 2019, 2020 e 2021. Il Fondo, vigilato dal Ministero dello sviluppo economico, è inquadrato nel Programma Industria 4.0, con l’obbiettivo di finanziare progetti all’avanguardia e incoraggiare la competitività dell’Italia in questo settore.

[5] Cfr.“Artificial Intelligence and life in 2030, One hundred year study on Artificial Intelligence, Stanford University, 2016, p. 5.

Ulteriori approfondimenti

L’Intelligenza Artificiale nei Financial Services
Stefano Stinchi, Director Financial Sector Microsoft Italia

Esempi di Intelligenza Artificiale nei Financial Services: i pagamenti
Stefano Stinchi, Director Financial Sector Microsoft Italia

PISP

(Payment Initiation Service Provider – Prestatore di servizi di disposizione di ordine di pagamento)

Uno dei servizi introdotti dalla direttiva PSD2 è il servizio di disposizione di ordine di pagamento (Payment Initiation Service). La Direttiva PSD2 fa sì che determinati soggetti, ossia i prestatori di servizi di disposizione di ordine di pagamento (Payment Initiation Service Providers – PISP), possano dare l’ordine di effettuare una transazione ad un prestatore di servizi di pagamento, una volta autorizzate dai loro clienti, accedendo direttamente al loro conto senza la presenza di nessun intermediario. Il pagatore, quindi, potrà addebitare una transazione direttamente nel suo conto online senza l’intermediazione della carta di credito. Questo innovativo servizio porta al venir meno di numerosi intermediari, conducendo potenzialmente ad una riduzione dei costi per le transazioni online e a una modifica radicale degli scenari competitivi. L’accesso al conto del pagatore avverrà attraverso un API (Application Programming Interface), un insieme di determinati metodi di comunicazione tra programmi e protocolli di accesso che sono vigilati e regolamentati direttamente dall’ABE (Autorità bancaria europea). Il soggetto presso cui è radicato il conto di pagamento (ASPSP), di solito una banca, sarà obbligato a garantire l’accesso al conto del pagatore anche in assenza di un rapporto contrattuale con il PISP (art. 66, comma 5 PSD2). Il PISP dovrà rispettare le condizioni previste dalla legge di recepimento della Direttiva PSD2: il PISP non potrà detenere in alcun modo i fondi del pagatore e di conseguenza non potrà svolgere la funzione tipicamente bancaria offrendo servizi di deposito. Per quanto riguarda i dati viene esplicitamente previsto il divieto di detenere dati sensibili e il PISP non potrà richiedere al pagatore dati ulteriori rispetto a quelli necessari allo svolgimento del servizio. Il PISP, se non autorizzato, non potrà usare né conservare i dati dell’utente per fini diversi da quelli strettamente necessari allo svolgimento del servizio. Il prestatore di servizi di pagamento presso cui è radicato il conto non potrà negare l’ accesso ai PISP; Il soggetto presso cui è radicato il conto dovrà garantire a tutti i soggetti, PISP compresi, parità di condizioni nell’ accesso al conto. Un diniego di accesso o un rallentamento nell’ accesso verso i PISP se non giustificato da motivi strettamente tecnici, potrà essere sanzionato per violazione del diritto antitrust dalle autorità nazionali e comunitarie. In questa prospettiva, il conto corrente, sarà assimilabile sempre di più ad una infrastruttura, a cui diversi soggetti dovranno avere accesso a parità di condizioni per offrire servizi di pagamento.

PSD2

La PSD2 (Payment Services Directive 2 – Direttiva (UE) 2015/2366), entrata in vigore il 13 gennaio 2018, ha sensibilmente modificato la disciplina europea sui servizi di pagamento, modificando quella precedentemente introdotta dalla Direttiva 2007/64/CE (cosiddetta PSD).
La direttiva ha regolato gli aspetti più innovativi emersi nel settore dei pagamenti, tenendo conto di fenomeni quali l’aumento esponenziale del ricorso ai sistemi di pagamento elettronici e il passaggio all’uso (quasi) esclusivo della tecnologia mobile da parte degli utenti. Come la precedente direttiva, la PSD2 mira a stabilire un mercato unico europeo di servizi di pagamento, orientato a principi di concorrenza, trasparenza e responsabilità nei confronti del consumatore.
Dal punto di vista soggettivo, la Direttiva PSD2 si applica anche a nuove tipologie di prestatori di servizi: le imprese del comparto FinTech e, in particolare, i TPP. A questi ultimi la Direttiva consente di accedere direttamente ai conti accesi dalla propria clientela presso altri istituti tramite le interfacce API, collocandoli finalmente in una posizione più competitiva rispetto agli operatori tradizionali (banche e istituti di pagamento).

RTS

(Regulatory Technical Standards – norme tecniche di regolamentazione)

Sono le norme tecniche funzionali alla prestazione degli innovativi servizi previsti dalla direttiva PSD2, introdotte con il Regolamento delegato (UE) 2018/389 della Commissione europea, che integra la direttiva. Le regole tecniche sono state sviluppate dall’ABE (Autorità bancaria europea) in stretta cooperazione con la Banca centrale europea. Il Regolamento delegato stabilisce, in particolare, le norme tecniche di regolamentazione per l’autenticazione forte del cliente (Strong Customer Authentication – SCA), le misure di protezione della riservatezza e dell’integrità delle credenziali di sicurezza personalizzate dell’utente e gli standard aperti comuni per la comunicazione tra i prestatori di servizi di radicamento del conto (ASPSPs), i prestatori di servizi di disposizione di ordine di pagamento (PISPs), i prestatori di servizi di informazione sui conti (AISP), i pagatori (payers), i beneficiari (payees) e gli altri prestatori di servizi di pagamento (PSPs).
Gli RTS troveranno applicazione a decorrere dal 14 settembre 2019. Tuttavia, si applicheranno a partire dal 14 marzo 2019 l’obbligo delle banche di mettere a disposizione la documentazione relativa al dispositivo di prova e alle specifiche tecniche delle loro interfacce dedicate.

SCA

(Strong Customer Authentication – Autenticazione forte del cliente)

L’autenticazione forte del cliente è una procedura di verifica dell’identità di un utente che i prestatori di servizi di pagamento applicano quando quest’ultimo effettua qualsiasi operazione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi (a titolo di esempio, quando accede al suo conto di pagamento on-line o dispone un’operazione di pagamento elettronico).
L’autenticazione forte del cliente è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione e, pertanto, si fonda sull’uso di due o più elementi, appartenenti alle seguenti categorie: conoscenza (qualcosa che solo l’utente conosce: password o codice identificativo utente), possesso (qualcosa che solo l’utente possiede: smart key), inerenza (qualcosa che caratterizza l’utente: caratteristiche biometriche e/o comportamentali). Tali elementi sono indipendenti l’uno dall’altro, in quanto la violazione di uno non è in grado di compromettere l’affidabilità degli altri.
La mancata adozione dell’autenticazione forte del cliente da parte dei prestatori di servizi di pagamento incide sul rispettivo regime di responsabilità.
L’autenticazione forte del cliente è disciplinata dalle norme tecniche di regolamentazione (Regulatory Technical Standards – RTS) contenute nel Regolamento delegato (UE) 2018/389 della Commissione europea, pubblicato il 13 marzo 2018.

Smart contract

Uno smart contract è un protocollo computerizzato che esegue le clausole di un contratto. Seguendo la stessa logica di un distributore automatico, lo smart contract è programmato per assicurare a una delle parti che la controparte soddisferà con certezza le proprie obbligazioni (in forza degli operatori logici ‘if-then’).
Di recente, sono state progettate alcune piattaforme (prima tra tutte, Ethereum) con l’intento di applicare la tecnologia blockchain all’esecuzione degli smart contract basati sul verificarsi di eventi semplici (come il passare del tempo) ovvero più complicati (come i risultati finanziari futuri).
Nella visione dei suoi sostenitori, gli smart contract sarebbero in grado di superare i problemi di moral hazard, scoraggiando l’inadempimento per fini strategici, e ridurre notevolmente i costi di verifica e di enforcement delle prestazioni: l’architettura tecnologica degli smart contract (blockchain) non lascerebbe alle parti alcuna possibilità di violazione delle norme contrattuali.
In sostanza, con la “stipulazione” di uno smart contract la parte si vincolerebbe a un’obbligazione di protezione aggiuntiva nei confronti dell’altra parte, obbligandosi a non comportarsi in modo opportunistico in futuro. Al pari dell’ordinamento giuridico, delle norme istituzionali e delle regole di mercato, l’architettura tecnologica della blockchain assumerebbe, così, il ruolo di limite regolatorio in grado di influire sul comportamento degli individui.
Dopo essere stato scritto nella blockchain, inoltre, lo smart contract si auto-esegue, svincolandosi dalla volontà di adempimento delle parti. L’architettura di alcuni smart contract, peraltro, subordina l’adempimento di una parte a quello della controparte.
La decentralizzazione offerta dalla blockchain, pertanto, limiterebbe enormemente anche l’insorgere di controversie giudiziali e, di conseguenza, la necessità di inserire clausole attinenti a tale eventualità (scelta del foro e legge applicabile).

Ulteriori approfondimenti

Smart Contract e Blockchain
Alessandra Grandoni, Pavia e Ansaldo

TPP

(Third-Party Provider – Prestatori terzi)

Operatori esterni autorizzati dai clienti ad accedere ai loro dati online sulle transazioni di pagamento. Tale accesso avviene mediante l’API (Application Programming Interface), che collega il Provider alla banca del cliente. La Direttiva PSD2 regolamenta due TPP: i Payment Initiation Service Provider (PISP), gli Account Information Service Provider (AISP).
La direttiva PSD2 (Articoli 66 e 67) ha riservato ai TPP il diritto di accedere liberamente ai dati bancari del cliente, a condizione che essi siano rigorosamente online, definendo gli standard di comunicazione con il prestatore del conto di pagamento (Account Servicing Payment Service Provider – ASPSP).
L’aspetto più radicale di questi nuovi soggetti consiste nel fatto che, per assicurare il libero accesso ai nuovi concorrenti, i prestatori del servizio di radicamento del conto non possono esigere che i TPP stipulino con essi un contratto per ottenere l’accesso ai conti di pagamento al fine di erogare i servizi caratteristici di informazione sui conti e di disposizione di ordini di pagamento.

UX

User Experience

Per user experience (UX) si intende il complesso di effetti (razionali e irrazionali) suscitati in un individuo dalla sua interazione con un determinato prodotto o sistema.

Dal punto di vista soggettivo, la UX coinvolge tutte le categorie di consumatori, indipendentemente dal livello culturale, dall’età, dal genere, dal censo e dalla classe sociale. Dal punto di vista oggettivo, il concetto di user experience ricomprende i seguenti aspetti:

la usabilità (usability), che include caratteristiche quali la facilità d’uso, la produttività, l’efficienza, l’efficacia, l’apprendibilità e la capacità di soddisfare l’utente;
l’utilità (usefulness), che consente un uso del prodotto o del sistema finalizzato al raggiungimento dell’obiettivo prefissato dall’utente;
l’impatto emozionale, che consiste nella componente emotiva dell’esperienza d’uso, in grado di influire sui sentimenti dell’utente, provocandogli piacere, gioia, divertimento, senso estetico, desiderabilità, novità, originalità, attrazione e coinvolgendo anche aspetti psicologici più profondi, come la consapevolezza di sé, i fenomeni identitari, i sentimenti di orgoglio e il senso di appartenenza.In breve, si considera che un prodotto o un sistema sia in grado di offrire una buona user experience se è facile da usare, efficiente e accattivante. Solitamente, l’utente medio va oltre gli aspetti pragmatici e verificabili (funzionalità e usability), ricercando la bellezza e la soddisfazione emotiva e intellettuale nell’esperienza d’uso in cui si ritrova coinvolto. Se poi l’esperienza risulta positiva, l’utente è più propenso a preservarla nella memoria dopo l’interazione con il prodotto o sistema che l’ha provocata. Anche il concetto di interazione è molto ampio e non va limitato alla sua componente materiale: interagire con un prodotto o un sistema significa osservare, toccare e pensare ad esso, arrivando sino a provare interesse ancor prima di aver avuto qualsiasi contatto con esso.

La UX assume un ruolo cruciale in ambito digitale, in cui si sta assistendo, da un lato, a un aumento vertiginoso della complessità delle nuove tecnologie impiegate e, dall’altro lato, al costante allargamento del bacino d’utenza, sempre più diversificato al suo interno. In questo specifico settore, il complemento della UX è la user interface (UI), che consiste nell’attività di progettazione delle interfacce utente di macchine e/o software finalizzata a ottimizzare la presentazione e l’interattività di un determinato prodotto o sistema. Dal momento che la maggior parte degli utenti ha accesso alla computazione da dispositivi mobile, l’attenzione degli UI designers è oggi rivolta principalmente all’elaborazione di user interface che siano efficaci per tali dispositivi (garantendone l’uso immediato, minimizzando gli input di testo, ottimizzando la visualizzazione dei risultati sullo schermo, creando applicazioni conformi all’interfaccia della piattaforma principale e consentendone l’uso anche in luoghi in cui la connessione è scarsa o assente).

Wallet Provider

(Prestatore di servizi di portafoglio digitale)

Il prestatore di servizi di portafoglio digitale è quel “soggetto che fornisce servizi di salvaguardia di chiavi crittografiche private per conto dei propri clienti, al fine di detenere, memorizzare e trasferire valute virtuali”. I prestatori di servizi di portafoglio digitale, assieme “ai prestatori di servizi di cambio tra valute virtuali e valute legali”, sono stati sottoposti dalla Direttiva (UE) 2018/843 all’obbligo di registrazione o licenza e assimilati, pertanto, a categorie di soggetti più “tradizionali”, quali i cambiavalute, gli uffici per l’incasso di assegni e i prestatori di servizi relativi a società o trust (art. 47, comma 1, direttiva (UE) 2015/849).
L’Italia aveva anticipato il legislatore europeo con il decreto legislativo n. 90/2017 di recepimento della IV direttiva antiriciclaggio, diventando il primo Paese europeo ad aver previsto obblighi specifici per i wallet provider e i cambiavalute di valuta virtuale. Il decreto legislativo de quo modifica la precedente normativa antiriciclaggio contenuta nel d.lgs. 231/2007, estendendone l’applicazione. Il decreto legislativo 90/2017 accomuna i prestatori di valuta virtuale ai cambiavalute e li sottopone all’obbligo di iscriversi in un registro ad hoc tenuto dall’Organismo Agenti e Mediatori.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie della categoria "Analytics".
cookielawinfo-checkbox-functional	11 months	Il cookie è impostato dal consenso dei cookie GDPR per registrare il consenso dell'utente per i cookie della categoria "Funzionale".
cookielawinfo-checkbox-necessary	11 months	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie della categoria "Necessario".
cookielawinfo-checkbox-others	11 months	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie della categoria "Altro".
cookielawinfo-checkbox-performance	11 months	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie della categoria "Performance".
viewed_cookie_policy	11 months	Il cookie è impostato dal plugin GDPR Cookie Consent e viene utilizzato per memorizzare se l'utente ha acconsentito o meno all'uso dei cookie. Non memorizza alcun dato personale.